В 2017 году группировка The Shadow Brokers похитила хакерский инструментарий АНБ и долгое время пыталась продать его. Затем, когда покупателей не нашлось, хакеры опубликовали большую часть дампа бесплатно, в открытом доступе. Многие читатели наверняка помнят, что тогда, в числе прочего, эксплоиты ETERNALBLUE и DOUBLEPULSAR стали достояние общественности и были использованы для атак на уязвимость в SMB для распространения известного вымогателя WannaCry.
Теперь же исследователи компании Check Point заметили, что китайская хак-группа APT31 (она же Zirconium) использовала эксплоит для Windows-уязвимости CVE-2017-2005 за три года до того момента, как The Shadow Brokers «слила» этот инструмент в открытый доступ, вместе с другими эксплоитами и данными, похищенными у АНБ.
Эксплоит китайских хакеров, о котором идет речь, носит имя Jian. Он представляет собой копию эксплоита EpMe, который разработали и активно использовали с 2014 по 2017 год хакеры из Equation Group (чью деятельность эксперты давно связывают напрямую с АНБ). Когда The Shadow Brokers похитили данные и инструменты АНБ, а затем опубликовали все это в открытом доступе, EpMe тоже стал достоянием общественности. Однако в руки китайцев он попал намного раньше.
«К нашему удивлению, мы обнаружили, что эксплоит APT31 на самом деле представляет собой реконструированную версию эксплоита Equation Group под названием EpMe. А значит, эксплоит Equation Group использовался китайской группой, скорее всего, против целей в США», — пишут исследователи.
Оба инструмента использовались для повышения привилегий в локальной среде Windows. Напомню, что Microsoft исправила уязвимость CVE-2017-0005, которой злоупотребляли Jian и EpMe, но лишь после того, как специалисты компании Lockheed Martin обнаружили работающий образец эксплоита и предоставили его экспертам Microsoft.
Это не первый случай, когда злоумышленники используют инструменты Equation Group в своих атаках, однако первый случай, когда хакеры сумели каким-то образом заполучить образцы эксплоитов и клонировать их в своих целях. Исследователи вспоминают, что ранее группировка APT3 уже применяла собственную версию инструмента EternalSynergy (названную UPSynergy). Однако тогда ИБ-эксперты компании Symantec пришли к выводу, что хакеры воссоздали эксплоит из перехваченного сетевого трафика и не имели на руках исходников.
В свою очередь, APT31 каким-то образом смогла заполучить образцы эксплоита АНБ всех версий, так как Jian был собран с использованием 32-битной и 64-битной версий инструмента EpMe. В Check Point считают, что информация могла попасть в руки китайских хакеров несколькими способами:
- во время сетевой операции Equation Group против какой-то китайской цели;
- во время работы Equation Group в сторонней сети, которая контролировалась еще и китайскими хакерами;
- во время атаки на инфраструктуру Equation Group.
«Наше исследование — это наглядная демонстрация того, как одна APT использует инструменты другой APT для собственных операций, что усложняет ИБ-исследователям задачу точной атрибуции атак, а также демонстрирует, насколько сложна реальность и как мало мы знаем», — резюмируют аналитики Check Point.